SolarWinds

  • SolarWinds embauche un duo de choc

  • SolarWinds et ses ingĂ©nieurs biĂ©lorusses au coeur de la polĂ©mique

    L’entreprise texane par qui le mal s’est invitĂ© dans les rĂ©seaux d’entreprises et d’agences gouvernementales amĂ©ricaines prenait Ă  la lĂ©gĂšre sa sĂ©curitĂ©. Et avait relocalisĂ© la maintenance de ses logiciels dans ses bureaux d’Europe de l’Est. Une dĂ©couverte qui fait tache. 

    Trois semaines aprĂšs que l’intrusion de hackers, a priori Ă  l’initiative de la Russie, ait Ă©tĂ© dĂ©couverte dans les rĂ©seaux de nombreuses organisations amĂ©ricaines, les motivations et l’impact de cette attaque restent sujettes Ă  caution. Surtout suite Ă  l’annonce de Microsoft : les attaquants ont pu consulter le code source de certains de ses programmes. 

    L’enquĂȘte que dĂ©bute le New York Times, quoique le journal souligne qu’il faudra des mois sinon des annĂ©es pour connaĂźtre l’étendue des dĂ©gĂąts, va dans le sens d’une attaque de plus grande ampleur qu’initialement estimĂ©e. En effet, ce ne sont pas une trentaine de rĂ©seaux auxquels les hackers ont eu accĂšs par le biais des failles des logiciels de SolarWinds, mais au moins 250 rĂ©seaux. Et ce nombre continue d’augmenter alors que Microsoft ou encore Amazon mĂšnent l’enquĂȘte de leur cĂŽtĂ©. Les premiĂšres estimations, du FBI notamment, Ă©taient donc bien en-deçà de la rĂ©alitĂ©. 

    NĂ©gligence

    SolarWinds est de plus en plus pointĂ© du doigt et sa responsabilitĂ© mise en cause. L’entreprise texane n’a certes pas Ă©tĂ© le seul Ă©lĂ©ment de la chaĂźne logistique Ă  avoir Ă©tĂ© utilisĂ© par les attaquants. CrowdStrike a ainsi rĂ©vĂ©lĂ© avoir Ă©tĂ© ciblĂ© par les hackers, mais sans succĂšs, par le biais d’un autre revendeur de produits Microsoft. SolarWinds, pour sa part, se prĂ©sente comme une victime d’une attaque “particuliĂšrement sophistiquĂ©e”

    Pourtant, l’enquĂȘte du NYTpointe les nombreuses lacunes de la part de l’entreprise d’Austin. A commencer par la politique de rationalisation des dĂ©penses menĂ©e par la direction de SolarWinds, qui ne considĂ©rait pas la sĂ©curitĂ© comme une prioritĂ© quand bien mĂȘme elle compte parmi ses clients moult agences gouvernementales. Bilan, une marge annuelle qui a triplĂ© en une dĂ©cennie, mais des failles nombreuses. Ce n’est qu’en 2017, sous la menace d’une sanction des autoritĂ©s europĂ©ennes Ă  l’aune du RGPD, que SolarWinds a commencĂ© Ă  se pencher sur la sĂ©curitĂ© de ses solutions. 

    L’arriùre-cour de la Russie

    D’autant que, pour rĂ©duire ses coĂ»ts, l’entreprise a dĂ©localisĂ© une bonne partie de ses activitĂ©s d’ingĂ©nierie en RĂ©publique TchĂšque, en Pologne et en BiĂ©lorussie. OĂč ses ingĂ©nieurs avaient accĂšs Ă  l’outil de gestion de rĂ©seaux Orion, exploitĂ© par les attaquants. Or SolarWinds elle-mĂȘme souligne que l’exploitation de ses solutions Ă©tait l'Ɠuvre d’humains, et non d’un programme informatique... La menace Ă©tait-elle interne ? 

    NĂ©anmoins, le problĂšme est moins la localisation de ces Ă©quipes d’ingĂ©nieurs en Europe de l’Est que l’absence d’information des clients de SolarWinds Ă  ce sujet. Ceux interrogĂ©s par le New York Times expliquent ne pas ĂȘtre au courant qu’ils utilisaient des logiciels dont la maintenance Ă©tait assurĂ©e Ă  l’étranger. La plupart ignoraient d’ailleurs utiliser Orion, ou d’autres programmes de SolarWinds, jusqu’à trĂšs rĂ©cemment... 

  • SolarWinds et ses ingĂ©nieurs biĂ©lorusses au coeur de la polĂ©mique

  • Solarwinds Observability dĂ©sormais accessible en SaaS

    L’éditeur ajoute de nouveaux modes de dĂ©ploiements Ă  sa solution d’observabilitĂ©.

  • Un deuxiĂšme malware dĂ©couvert dans Orion de SolarWinds

    Dans un communiquĂ© analysant les failles ayant permis le hacking de SolarWinds, Microsoft rĂ©vĂšle avoir trouvĂ© un deuxiĂšme malware dans le mĂȘme logiciel Orion, attaquĂ© quelques jours auparavant.

    Quelle est l’ampleur des dĂ©gĂąts subis par SolarWinds ? AprĂšs les rĂ©vĂ©lations de la compromission de son logiciel Orion par des hackers ainsi que la vente de 280 millions d’actions six jours avant les rĂ©vĂ©lations de la cyberattaque incriminant un de ses produits, Microsoft vient s’ajouter aux concerts des mauvaises nouvelles.

    L'une de ses installations d'Orion, l'outil dont les hackeurs ont utilisĂ© les mises Ă  jour pour insĂ©rer un code malveillant et dĂ©rober les informations de plusieurs administrations et entreprises, hĂ©bergeait un deuxiĂšme malware, selon les analyses d’une enquĂȘte menĂ©e par Microsoft sur les raisons du hacking et publiĂ©es sur son site.

    « Notre enquĂȘte sur le hacking de SolarWinds a menĂ© Ă  la dĂ©couverte d’un autre malware affectant aussi le software Orion mais n’ayantprobablementaucun lien avec la premiĂšre faille et provenant d’une autre source Â», indique Microsoft dans son rapport.

    Le programme, une backdoor appelĂ©e Supernova, permet au hackeur d’envoyer et d’exĂ©cuter un programme malicieux sur le produit ciblĂ©. Il serait stockĂ© dans la mĂ©moire de l’ordinateur et non sur son disque, lui permettant d’échapper Ă  certains logiciels de cybersĂ©curitĂ©, selon des chercheurs de chez Palo Alto Networks interrogĂ©s par Cyberscoop.

    L’étendue des dĂ©gĂąts causĂ©s par la premiĂšre cyberattaque n’a toujours pas fini d’ĂȘtre connue. Des entreprises comme Cisco, Intel, Nvidia, VMware, Deloitte ou encore Belkin mais aussi une universitĂ© et un hĂŽpital feraient tous partie des victimes de l’attaque, selon le Wall Street Journal. Tous utilisaient le software Orion.

  • Un deuxiĂšme malware dĂ©couvert dans Orion de SolarWinds

  • Une erreur de stagiaire au coeur du Solorigate

  • Une erreur de stagiaire au coeur du Solorigate

    Un mot de passe « solarwinds123 Â» enregistrĂ© par un stagiaire quelques annĂ©es auparavant sur un compte GitHub aurait permis la fuite massive de donnĂ©es a rĂ©vĂ©lĂ© l’entreprise lors d’une audition, vendredi dernier.

    L’affaire du Solorigate n’en finit plus de dĂ©livrer son lot de rebondissements alors que la pleine mesure de l’ampleur du hack est encore difficile Ă  Ă©valuer. Au centre des dĂ©bats dĂ©sormais figure un mot de passe Ă  la simplicitĂ© confondante, l’Ɠuvre d’un stagiaire. Une lĂ©gĂšretĂ© de plus quant Ă  sa sĂ©curitĂ©, aprĂšs avoir dĂ©localisĂ© la maintenance de ses logiciels dans ses bureaux d’Europe de l’Est.

    Pour accĂ©der Ă  l’un des serveurs de SolarWinds, il fallait entrer le mot de passe « solarwinds123 Â» qu’un stagiaire avait enregistrĂ© en 2017, a reconnu Sudhakar Ramakrishna, actuel prĂ©sident de SolarWinds, lors d’une audition devant la ComitĂ© d’investigation de la Chambre des ReprĂ©sentants amĂ©ricain, le vendredi 26 fĂ©vrier.

    « DĂšs que[ce mot de passe] a Ă©tĂ© identifiĂ© par mon Ă©quipe de sĂ©curitĂ©, il a Ă©tĂ© retirĂ© Â», a Ă©galement prĂ©cisĂ© Kevin. B. Thompson, ancien directeur de SolarWinds, ajoutant que le mot de passe avait Ă©tĂ© postĂ© sur un compte interne et confirmant, par lĂ  mĂȘme, l’existence de ce mot de passe rĂ©vĂ©lĂ© par la presse amĂ©ricaine.

    « J’ai un mot de passe plus sĂ©curisĂ© pour empĂȘcher mes enfants de regarder trop de vidĂ©os sur YouTube sur leurs iPad Â», leur a rĂ©pondu Katie Porter, reprĂ©sentante dĂ©mocrate de l’État de Californie, et rapportĂ© par Gizmodo.

    Insondable

    Les chefs d’entreprise de Microsoft, FireEye ainsi que l’actuel et l'ancien prĂ©sident de SolarWinds Ă©taient tous entendu devant la commission pour tenter de faire la lumiĂšre sur l’une des failles de cybersĂ©curitĂ© les plus importantes de ces derniĂšres annĂ©es, dĂ©sormais appelĂ©e Solorigate, trois jours aprĂšs s’ĂȘtre entretenus avec les membres du SĂ©nat.

    « Il est vraisemblable que nous ne connaissions jamais l’étendue complĂšte des dĂ©gĂąts de l’attaque ainsi que l’étendue des bĂ©nĂ©fices dont pourraient en bĂ©nĂ©ficier nos adversaires Â», a notamment prĂ©venu Kevin Mandia, directeur de FireEye, devant les membres de la commission.

    Le gouvernement amĂ©ricain a incriminĂ© le gouvernement russe dans l’affaire. Celui-ci a toujours dĂ©menti en ĂȘtre l’auteur.